поиск по сайту
Некоторые аспекты внедрения средств защиты на объектах автоматизации МВД по Республике Татарстан

В. Ю. Бондарев, А. В. КАРЕЛИНА, Д.Ю. СЧАСТНЫЙ

РОССИЯ, Казань; МОСКВА

 Некоторые аспекты внедрения средств защиты на объектах автоматизации МВД по Республике Татарстан

В данной статье кратко описаны некоторые аспекты внедрения средств защиты на объекте автоматизации МВД по Республике Татарстан (РТ). Этот объект автоматизации представляет собой территориально распределенную информационную систему для выполнения сотрудниками МВД по РТ своих функциональных обязанностей.

В «Автоматизированной системе сотрудников МВД» по РТ обрабатываются персональные данные, которые необходимо защитить в соответствии с Федеральным законом 152-ФЗ «О персональных данных» и требованиями нормативных документов МВД.

Проектированием и внедрением комплексного решения по обеспечению защиты информации на рассматриваемом объекте автоматизации занимается один из ведущих российских системных интеграторов ICL КПО ВС. Предлагаемое решение построено на базе средств защиты информации: VipNet (ОАО «ИнфоТеКС»), ПСКЗИ ШИПКА (ЗАО «ОКБ САПР») и антивирус Касперского («Лаборатория Касперского»). В системе реализован комплексный подход к решению ряда задач, таких как:

  • ограничение доступа к рабочей станции пользователей, не имеющих соответствующих полномочий;
  • защита сетевого трафика;
  • безопасное хранение парольной или ключевой информации;
  • защита от вредоносного программного обеспечения (ПО).

В решении первых трех из этих четырех задач в описываемой системе применяется ПСКЗИ ШИПКА.

1. Ограничение доступа к рабочей станции пользователей, не имеющих соответствующих полномочий. Первая немаловажная проблема, которая возникает в многопользовательских системах, в том числе рассматриваемой - возможность получения доступа к компьютеру пользователями, которые не имеют на это права. В рассматриваемой Автоматизированной системе данная задача была решена использованием ПСКЗИ ШИПКА в качестве идентификатора, который требуется подключить при входе на рабочую станцию. Здесь используются два варианта применения ПСКЗИ ШИПКА, в зависимости от того, входит ли компьютер в домен или является элементом рабочей группы.

Одним из способов входа в домен Windows является метод, основанный на использовании смарт-карты. При этом смарт-карта является инструментом, позволяющим одновременно идентифицировать и аутентифицировать пользователя. В качестве смарт-карты при входе в домен в данном решении используется ПСКЗИ ШИПКА.

Для случая, когда компьютер не входит в домен, также возможна организация защищенной процедуры входа в систему с использованием ПСКЗИ ШИПКА. Для этого администратором локального компьютера должны быть выполнены необходимые настройки в программе «Настройка защищенного входа в ОС», входящей в комплект пользовательского ПО ПСКЗИ ШИПКА. Данная программа позволяет также определить реакцию на отключение устройства, например, может быть настроена блокировка экрана и клавиатуры, этот механизм используется в решении, предлагаемом ICL КПО ВС. В этом случае вернуться в рабочий режим можно после подключения ШИПКА и ввода PIN-кода.

2. Защита сетевого трафика. Поскольку объект защиты представляет собой распределенную информационную систему, то необходимо обеспечить защиту данных, передаваемых по сети путем создания виртуальных защищенных сетей (VPN). Эту задачу решает пакет программ серии VipNet. На каждый компьютер, участвующий в виртуальной защищенной сети устанавливается необходимое, в зависимости от роли компьютера в системе, ПО. На пользовательские станции устанавливается ПО VipNet Client; на границах локальных сетей - ПО VipNet Coordinator. В результате организации VPN информация, передаваемая между любыми двумя компьютерами в рамках одного соединения, становится недоступной для остальных компьютеров, не участвующих в данном соединении. Кроме этого, информация на компьютерах, включенных в VPN, недоступна для любого компьютера не участвующего в VPN.

3. Безопасное хранение парольной или ключевой информации. Наряду с ограничением доступа к рабочей станции пользователей, не имеющих соответствующих полномочий, ПСКЗИ ШИПКА используется для хранения паролей VipNet Client. Пользователям не нужно запоминать сложные длинные пароли для входа в программу VipNet Client, достаточно лишь подключить устройство и ввести PIN-код. Аутентификационные данные для входа в ОС - как на компьютерах, входящих в домен, так и на компьютерах, входящих в рабочие группы, также хранятся в ПСКЗИ ШИПКА и не вводятся пользователем самостоятельно. В случае со входом в домен - это стандартная процедура, полностью аналогичная реализованной на обычной смарт-карте, ее нет смысле описывать детально. В случае же с локальным входом в ОС по ШИПКЕ - пользователь подключает ШИПКУ и вводит ее PIN-код, а ШИПКА передает его логин и пароль, которых пользователь при этом может и вовсе не знать (а значит, не сможет записать в общедоступном месте, или кому-то сообщить). Более того, даже завладев ШИПКОЙ, злоумышленник не сможет извлечь из нее эти данные. Единственный возможный вариант атаки - это если злоумышленник располагает одновременно ШИПКОЙ, ее PIN-кодом и ПК, на котором он планирует осуществить вход в ОС по ШИПКЕ легального пользователя. Эту ситуацию в МВД легко пресекают с помощью орг.мер.

Таким образом, решение, предложенное ICL КПО ВС для объекта автоматизации МВД по РТ, позволяет обеспечить уровень безопасности необходимый для обработки персональных данных. Это достигается тем, что с помощью выбранных средств защиты информации грамотно решены проблемы, возникающие на всех возможных этапах работы с персональными данными, главные из которых - доступ к рабочим станциями только уполномоченных пользователей и надежная передача информации в сетях посредством VPN и защита рабочих станций от проникновения и действия вредоносного ПО.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них